Caçador de bugs do Facebook tropeça em backdoor deixado por hackers

Quando Orange Tsai partiu para participar do programa de recompensas de bugs do Facebook em fevereiro, ele conseguiu obter acesso a um dos servidores corporativos do Facebook. Mas uma vez, ele percebeu que hackers maliciosos o haviam espancado.

Tsai, um consultor da Devcore, empresa de testes de penetração taiwanesa, começou mapeando as propriedades on-line do Facebook, que vão além dos serviços voltados ao usuário como facebook.com ou instagram. .com.

Um servidor que chamou sua atenção foi o files.fb.com, que hospedava um aplicativo seguro de transferência de arquivos feito pelo fornecedor de software corporativo Accellion e foi presumivelmente usado por funcionários do Facebook para compartilhamento e colaboração de arquivos.

[Further leitura: Como remover malware do seu PC Windows]

Tsai analisou o aplicativo e encontrou sete vulnerabilidades, incluindo duas de execução remota de código, que ele relatou à Accellion.

Ele usou as vulnerabilidades para obter acesso ao servidor corporativo do Facebook e começou a coletar informações de seus logs para preparar um relatório para a equipe de segurança da empresa.

Foi quando ele detectou alguns erros incomuns no log do servidor que apontavam para ele O backdoor baseado em PHP - também conhecido como shell da Web - já havia sido instalado no servidor por hackers mal-intencionados.

O shell da Web desonesto permitia que os hackers executassem comandos do shell no servidor e carregassem arquivos mas, mais importante, seqüestrou o processo de autenticação do aplicativo Accellion e registrou as credenciais dos funcionários do Facebook acessando-o.

“Na época em que descobri, havia cerca de 300 credenciais registradas entre 1º e 7 de fevereiro, principalmente '@fb .com 'e' @ facebook.com ', disse Tsai em um post no blog quinta-feira. “Ao vê-lo, achei que seria um incidente de segurança muito sério.” Como o aplicativo Accellion permitia autenticação por meio do LDAP e do Windows Active Directory, Tsai suspeitava que as credenciais de funcionários capturadas no Facebook também funcionassem para outros servidores corporativos do Facebook, como o Outlook. Web App ou VPN, mas ele não tentou usá-los.

Uma análise mais aprofundada dos registros do servidor revelou que os hackers que originalmente instalaram o Web Shell baixaram as credenciais capturadas e excluíram o arquivo que os continha todos os dias. Além disso, havia evidências de que eles tentavam mapear a rede interna do Facebook, fazer login no LDAP e em outros servidores e até procurar por chaves privadas SSL.

“Houve dois períodos em que o sistema foi obviamente operado pelo hacker, um no início de julho e uma em meados de setembro ”, disse Tsai.

O incidente de julho aconteceu na mesma época em que uma vulnerabilidade de execução remota de código no Accellion File Transfer Appliance foi divulgada publicamente.

Tsai relatou todas as suas descobertas para o Facebook, que lhe concedeu uma recompensa de US $ 10.000 e lançou sua própria investigação forense que foi concluída este mês, solicitando o post do blog do pesquisador.

Facebook não respondeu imediatamente a um pedido de comentário. >